이 글은 IDG의 아티클을 전재하여 제공합니다.
[원문보기]
데이터와 클라우드가 지역화되면서, 글로벌 IT 리더들은 점점 더 지역 중심으로 변하는 디지털 시대에 적응해야 한다는 긴박감을 느끼고 있습니다. 디지털 주권(digital sovereignty) 움직임이 빠르게 확산하고 있습니다. 전 세계 각국 정부가 데이터의 현지 저장이나 처리 의무를 규정하는 지역별 법률을 잇달아 도입하고 있는 것입니다. 유럽의 Gaia-X 주권 클라우드 프로젝트를 비롯해 EU의 GDPR, 인도의 DPDP법, 캐나다 주 단위 규제, 미국 캘리포니아주의 CCPA 등 초지역화 데이터 법이 대표적인 사례입니다.
데이터 주권 논의는 수년 전부터 이어져 왔지만, 최근 들어 그 중요성이 급격히 부각되며 모든 디지털 환경과 클라우드에서 주목받고 있습니다. 디지털 전환 서비스 기업 Sutherland Global의 CIO 겸 CDO Doug Gilbert는 “디지털 주권을 둘러싼 긴급성이 뚜렷하게 커졌고, 이제는 외면할 수 없는 상황”이라고 했습니다.
지정학적 갈등 심화와 탈세계화 기조 속에서 IT 리더들은 지역에 구애받지 않는 이동 가능한 아키텍처를 모색하고, 온프레미스, 코로케이션, 국내 프라이빗 클라우드 같은 대안을 다시 검토하고 있습니다. 동시에 하이퍼스케일러와 엔터프라이즈 플랫폼도 각국의 규제를 충족하기 위해 새로운 서비스와 복잡한 설정을 내놓고 있습니다.
그럼에도 많은 IT 리더들은 여전히 현황을 파악하고 대응 전략을 준비하는 단계입니다. CIO 전략 자문가이자 업계 애널리스트 Tim Crawford는 “명확한 가이드라인이 많지 않다. 수동적으로 기다리지 말고 주의 깊게, 성실하게 대응하며 앞으로 나아가야 한다”고 했습니다.
따라서 지금이 행동해야 할 시점입니다. 글로벌 IT 리더들은 디지털 주권이 자사에 어떤 영향을 미치는지 점검하고, 미래의 규제 분절화에 대비할 수 있는 전략을 수립해야 합니다.
글로벌 긴장이 주권 대응 촉발
IT 서비스 및 컨설팅 기업 Xebia의 글로벌 IT 리더 Smit Shanker는 지정학적 갈등, 세계 불안정, 무역 문제 등이 디지털 주권에 대한 우려를 높이고 있다고 지적했습니다. “이는 반드시 고민하고 해결해야 할 매우 중요한 과제가 됐다”고 했습니다. Shanker는 AI가 주목받고 있지만, 디지털 전략의 기본을 건너뛰어서는 안 된다고 경고했습니다. “AI 준비와 차별화를 위해서는 디지털 자산을 통제할 수 있어야 하며, 그 지점에서 주권은 대단히 중요한 의미를 가진다”고 덧붙였습니다.
클라우드 기반 데이터 저장 기업 Snowflake의 IT 리더 Mike Blandina는 “조직은 데이터가 어디에 저장되고, 누가 접근할 수 있으며, 어떻게 보호되는지 알고 싶어 한다. IT 리더의 역할은 혁신을 희생하지 않으면서 기업이 이러한 변화를 헤쳐 나갈 수 있도록 지원하는 것”이라고 설명했습니다.
ERP 소프트웨어 기업 Epicor의 CCO 겸 CIO Rich Murr는 불이행 비용이 증가함에 따른 벌금을 또 다른 우려사항으로 꼽았습니다. “지역별 데이터 규제는 이미 수년간 존재했지만, 점점 더 많은 관할권이 자체 기준을 마련하고 있다. 복잡성이 커질수록 대응 시급성은 높아진다”고 했습니다.
Gilbert 역시 페널티가 중요한 동기임을 인정하면서도, 미·중 기술 갈등 같은 지정학적 요인 또한 각국이 데이터 생태계를 강화하는 이유라고 분석했습니다. “개인정보 보호에 대한 대중의 우려와 끊이지 않는 사이버 공격이 회복력 강화를 더욱 필요하게 하고 있다. 데이터와 기업 평판을 지키기 위해 디지털 주권 대응을 우선시해야 하는 이유가 분명해졌다”고 했습니다.
운영을 바꾸기 시작한 디지털 주권
국가별 데이터 주권 법률은 글로벌 기업 운영에 막대한 압박을 가하고 있습니다. Asperitas Consulting의 파트너 Scott Wheeler는 “중국은 인프라 점검 권한을 요구하는 등 기업에 큰 부담을 준다. 이런 규제는 종종 현지 인프라를 이중으로 구축하거나 개인정보 감사 절차를 추가해야 하는 상황으로 이어진다”고 지적했습니다.
SAP 클라우드 운영을 지원하는 Lemongrass의 CTO Eamonn O’Neill도 대체 클라우드에 대한 관심이 늘어나고 있다고 전했습니다. “이는 단순히 규제 준수 때문만이 아니라, 전통적인 하이퍼스케일러보다 주권 클라우드가 더 높은 보안성과 회복력을 제공하기 때문”이라고 설명했습니다. 이에 대응해 하이퍼스케일러들은 자체 주권 클라우드를 선보이고 있습니다. O’Neill은 “이들은 다양한 지역과 관할권에서 새롭게 등장하는 통제 프레임워크를 면밀히 추적하며 대응하고 있다. 이는 명백히 고객 수요가 이끄는 혁신 사이클이고, 빠르게 확산하고 있다”고 했습니다. 그는 또 “자동화가 이러한 대응을 유연하고 적응력 있게 구현하는 핵심 요소”라고 덧붙였습니다.
나중에 대응하기보다 지금 계획하는 것이 낫다
이처럼 다양한 요인이 맞물리면서 많은 기업들이 이미 행동에 나서고 있습니다. Gilbert는 “우리는 더 이상 ‘지켜보자’는 태도에서 벗어나 전략을 적극적으로 재편하고 있다”라며 “전환점은 두 가지였다. 임박한 규제 시한과 이해관계자의 신뢰를 지켜야 한다는 절대적 필요성”이라고 말했습니다. Gilbert의 팀은 데이터 흐름을 점검하고, 지역별 규제에 맞추며, 새로운 인프라 전략에 투자하고 있습니다.
선제적으로 움직인 조직들은 이미 성과를 보고 있습니다. Blandina는 “우리는 정책 변화 이전부터 일찍 투자하기 시작했다”며, 현지 인프라 구축과 클라우드 제공업체와의 협력을 통해 데이터 현지 저장, 개인정보 보호, 규제 준수 요구를 충족시켜 왔다고 설명했습니다. “변화에 반응하기보다는 변화에 대비하는 것이 혼란을 헤쳐 나가는 유일한 방법”이라고 강조했습니다.
Murr 역시 “글로벌 기업으로서 여러 관할 규제를 동시에 준수해야 하므로, 컴플라이언스와 리스크 회피는 반드시 선제적으로 다뤄야 하는 사안”이라며 “대부분의 경우 ‘지켜보자’는 선택지는 존재하지 않는다”고 했습니다.
다만 일부 IT 리더들은 여전히 상황을 평가하고 실행 전략을 모색하는 단계입니다. Shanker는 “지금은 적극적인 평가와 검토 단계”라며 “요건이 완전히 확정된 것은 아니므로, 모듈형·확장형·보안형·지역 친화형 솔루션을 시장과 규제 요건에 맞춰 설계하기 위해 기본으로 돌아가야 한다”고 전했습니다.
IT 리더들이 주도하는 적응 전략
디지털 주권과 지역별 데이터 규제의 확산은 이미 글로벌 기업들의 클라우드·데이터·운영 전략을 재편하고 있습니다. 이에 글로벌 IT 리더들은 워크로드 본국 회수, 주권·지역 클라우드 존 구축, 엣지 데이터센터 도입, 데이터 통제 및 감사 강화 등 다양한 대응책을 주도하고 있습니다.
Gilbert는 “이러한 규제는 우리의 운영 환경을 근본적으로 바꿔놓았다. 엄격한 데이터 현지 저장법을 시행하는 아랍에미리트(UAE) 같은 국가들 때문에 우리는 민감한 데이터를 어디에 저장할지 재검토할 수밖에 없었다”고 했습니다. Sutherland Global은 주요 클라우드 제공업체의 현지 데이터센터, 즉 주권 클라우드를 활용하고 있으며, 국경 간 데이터 이전 제한을 준수하기 위해 접근 통제도 강화했습니다. 물론 비용은 늘었지만 불가피한 조치라고 설명합니다.
Shanker는 Xebia가 한 걸음 더 나아가 자체 설계한 ‘지역 중립적 데이터 인프라’를 검토 중이라고 밝혔습니다. “이러한 역량을 선제적으로 개발하는 것이 나중에 요건이 의무화될 때 허둥대지 않는 길”이라며 “데이터 현지 저장, 암호화 키 관리, 주권 친화적 데브옵스(DevOps) 교육에 투자하고 있다”고 했습니다.
Wheeler는 또 다른 전략으로 ‘범관할권 시스템 구축’을 꼽았습니다. “국제적으로 사업을 운영하는 미국 기업들은 종종 GDPR 수준의 기준을 전 세계적으로 적용한다. 이는 나라별로 별도 체계를 운영하는 것보다 비용 효율적일 수 있지만, 전체 비용을 끌어올리는 요인도 된다”고 했습니다.
Blandina는 특히 플랫폼 제공업체 IT 리더들이 가장 큰 운영 부담을 떠안고 있다고 설명했습니다. “디지털 주권은 Snowflake가 새로운 클라우드 리전 지원, 지역 경계 통제, 주권 시장 내 배포 등을 추진하게 했다. 핵심은 지역별 요건을 충족할 만큼 유연하면서도 글로벌 확장성을 보장할 수 있는 보안 데이터 아키텍처를 구축하는 것”이라고 강조했습니다. 이어 “주권은 장애물이 아니라, 오히려 강력하고 미래지향적인 데이터 전략을 설계할 수 있는 촉매가 될 수 있다”고 했습니다.
규제 준수 책임, 플랫폼에 더 무게
디지털 주권 규제 준수 책임은 클라우드 플랫폼에 있을까, 아니면 이를 사용하는 기업에 있을까요? 일부 기업들은 자체 호스팅이나 지역 중립적 아키텍처를 개발하려 하지만, 대부분의 기업들은 클라우드 제공업체가 지역별 통제를 구현해 규제를 충족해 주기를 기대합니다. 최근에는 ‘서비스형 데이터 현지화(Data Localization-as-a-Service)’ 같은 신흥 클라우드 서비스도 등장하고 있습니다.
Murr는 “우리는 오랫동안 SaaS 솔루션을 활용해 왔고, 앞으로도 같은 벤더들이 글로벌 디지털 주권 요건을 충족해 줄 것으로 기대한다. 이 역시 다른 기술 진화와 마찬가지로 X-서비스 모델로 자리 잡아 손쉽게 활용할 수 있을 것”이라고 했습니다. 규제 준수를 플랫폼에 위임하면 ‘베스트 오브 브리드(Best-of-Breed)’ 접근도 가능해집니다. “이들 플랫폼은 디지털 주권 솔루션을 제공할 인프라와 전문성을 보유하고 있으며, 동시에 이를 수익화할 막대한 기회도 가지고 있다”고 설명했습니다.
Crawford는 “최종사용자가 모든 요건을 숙지하기엔 부담이 너무 크다. 기업들은 벤더가 툴에 규제 준수를 내재화해 주기를 기대할 수밖에 없다”고 했습니다. SAP가 거래 데이터, IBM이 대규모 엔터프라이즈 시스템, 세일즈포스가 고객 데이터, 서비스나우와 워크데이가 직원 데이터를 관리하는 식으로, 비즈니스 데이터와 밀접한 업체가 적합합니다.
Shanker도 CRM과 ERP 벤더 같은 플랫폼 제공업체가 주권 규제 준수 기능과 서비스를 내장해야 한다고 보았습니다. 다만 아키텍처 설계, 데이터·운영 거버넌스는 여전히 기업의 몫이라고 강조했습니다.
Blandina는 “규제 준수는 분담할 때 최선의 효과가 나온다. 플랫폼 제공업체는 보안성과 규제 준수 설계가 내재된 인프라를 구축해야 하고, 최종사용자는 툴 활용 과정에서 적극적으로 거버넌스를 수행해야 합니다. 이렇게 해야 더 강력하고 회복력 있는 규제 준수 태세를 갖출 수 있다”고 설명했습니다.
IT 리더를 위한 디지털 주권 대응 지침
특히 미국 기반 글로벌 IT 리더들은 갈수록 파편화되는 글로벌 규제 환경에 직면해 있습니다. Xebia의 Shanker는 “이러한 현실은 기술 공급업체 생태계를 재편하고, 새로운 혁신과 선두주자를 탄생시킬 수 있다. 전통적 파트너십을 넘어 새로운 기회를 모색할 필요가 있다”고 했습니다.
이 불안정한 환경에서 기업들은 수동적이 아니라 선제적으로 대응해야 합니다. 즉, 각 시장과 관할권의 요구를 충족하고, 기본적으로 이러한 기능을 제공하는 플랫폼을 선택해야 합니다.
Murr는 “디지털 주권 솔루션을 내재화한 SaaS 공급업체를 활용하라”고 조언했으며, Blandina는 “글로벌 기업들은 설정 가능성, 투명성, 규제 준수 설계가 보장된 플랫폼과 파트너십에 투자해야 한다”고 덧붙였습니다. “선택권을 확보할 수 있는 모듈형·규제 준수형 아키텍처를 설계하는 것이 핵심”이라며 “규제 환경은 계속 진화할 것이고, 디지털 주권 요건은 점점 더 정교해질 것”이라고 전망했습니다.
또한 규제 위반 발생 시 즉시 파악할 수 있는 모니터링 체계도 필요합니다. Crawford는 “법적으로 침해가 발생하면 즉시 시계가 작동하며, 피해자 통지가 의무화된다. 문제는 거버넌스가 없다면 침해 사실조차 모를 수 있다”고 지적했습니다.
클라우드는 더 이상 국경 없는 공간이 아니다
현재 미국 내 20개 주가 포괄적 데이터 프라이버시 법을 제정한 상태이며, 국가별 규제 확산으로 세계는 점점 더 ‘탈세계화’되고 ‘분절화’된 국면으로 향하고 있습니다. 이는 지정학적 불확실성과 개인정보 보호 우려, 그리고 디지털 데이터의 사회적·경제적 중요성을 반영합니다.
Blandina는 “디지털 주권은 앞으로 경제 정책, 국가 안보, 혁신의 중심축이 될 것”이라며 “이제 막 본격적인 수요가 드러나기 시작했을 뿐이며, 이 분야에서 혁신하는 기업과 플랫폼이 미래를 주도할 것”이라고 내다봤습니다.
Shanker는 “앞으로 더 엄격한 데이터 현지화 요건, 규제 파편화, 디지털 자산 통제 강화가 예상된다. 기업 IT는 효율성 중심에서 주권 회복력 중심으로 진화해야 하며, 표준화와 효율성을 유지하면서도 선택권을 확보하는 것이 새 과제”라고 설명했습니다.
대부분의 글로벌 IT 리더들에게 이제 불이행 위험은 무시할 수 없을 만큼 커졌습니다. 벌금은 물론, 시장 배제와 평판 손실은 기업에 치명적일 수 있습니다. 주권 요건은 지역마다 다르기에 정밀한 대응이 필수입니다.
Crawford는 “애플리케이션 아키텍처와 데이터 거버넌스를 훨씬 더 세밀하고 정교하게 설계해야 한다. 생성형 AI가 일부 지원을 제공할 수 있겠지만, 각국의 데이터 법은 구체적이고 끊임없이 변화하기 때문에 비결정론적 AI는 위험한 선택”이라고 경고했습니다. “민첩성을 유지하고 새로운 주권 규제에 대비하라. 지금 탑승해 안전벨트를 매고 흔들림을 견뎌야 한다”고 강조했습니다.
▶ 해당 콘텐츠는 저작권법에 의하여 보호받는 저작물로 기고자에게 저작권이 있습니다.
▶ 해당 콘텐츠는 사전 동의 없이 2차 가공 및 영리적인 이용을 금하고 있습니다.
CIO의 Contributing Writer